ABD hükümeti Salı günü, gelişmiş bir kötü amaçlı yazılım türü tarafından tehlikeye atılan küresel bir ağın mahkeme tarafından yetkilendirilen kesintiye uğradığını duyurdu. Yılan Rusya Federal Güvenlik Servisi (FSB) tarafından kullanılıyor.
“En gelişmiş siber casusluk aracı” olarak adlandırılan Yılan, ABD hükümetinin bir Rus devlet destekli Turla (diğer adıyla Iron Hunter, Secret Blizzard, SUMMIT, Uroburos, Venomous Bear ve Waterbug) adlı bir grubun eseridir. FSB’nin Merkez 16’sındaki birim.
Tehdit aktörünün bir sicil kaydı Avrupa, Bağımsız Devletler Topluluğu (BDT) ve NATO’ya bağlı ülkelerdeki varlıklara yoğun bir şekilde odaklanmak ve yakın zamanda faaliyet alanını genişleterek bölgede Rusya tarafından desteklenen ülkeler için bir tehdit olarak görülen Orta Doğu uluslarını dahil etmek.
“Yaklaşık 20 yıldır bu birim […] Kuzey Atlantik Antlaşması Örgütü (NATO) üyesi hükümetlere, gazetecilere ve Rusya Federasyonu’nu ilgilendiren diğer hedeflere ait en az 50 ülkedeki yüzlerce bilgisayar sisteminden hassas belgeleri çalmak için Snake kötü amaçlı yazılımının sürümlerini kullandı.” Adalet Departmanı söz konusu.
“Bu belgeleri çaldıktan sonra, Turla onları Amerika Birleşik Devletleri’nde ve dünyanın dört bir yanında farkında olmadan Snake’in tehlikeye attığı bilgisayarlardan oluşan gizli bir ağ aracılığıyla sızdırdı.”
Etkisizleştirme, MEDUSA Operasyonu adlı bir çabanın bir parçası olarak, ABD Federal Soruşturma Bürosu (FBI) tarafından oluşturulan ve PERSEUS kod adlı, yetkililerin kötü amaçlı yazılıma “kendi hayati bileşenlerinin üzerine yazmasına” neden olan komutlar vermesine izin veren bir araç aracılığıyla düzenlendi. ” virüs bulaşmış makinelerde.
Ajans, kötü amaçlı yazılımın ağ iletişiminin şifresini çözdükten ve kodunu çözdükten sonra tasarlanan kendi kendini imha etme talimatlarının, “Yılan implantının ana bilgisayarı veya bilgisayardaki meşru uygulamaları etkilemeden kendi kendini devre dışı bırakmasına” neden olduğunu söyledi.
Bir rivayete göre yılan danışma ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA) tarafından piyasaya sürülen, yüksek öncelikli hedefler hakkında uzun vadeli istihbarat toplamak için gizli bir araç olarak tasarlanmıştır ve düşmanın güvenliği ihlal edilmiş sistemlerden eşler arası (P2P) bir ağ oluşturmasına olanak tanır. Dünya.
Dahası, P2P ağındaki birkaç sistem, gizlenmiş operasyonel trafiği FSB’nin nihai hedeflerine yerleştirilen Snake kötü amaçlı yazılımına yönlendirmek için aktarma düğümleri görevi gördü ve bu da etkinliğin tespit edilmesini zorlaştırdı.
C tabanlı platformlar arası kötü amaçlı yazılım, yeni bir gizlilik katmanı eklemek için ayrıca özel iletişim yöntemleri kullanır ve yeteneklerini artırmak ve değerli bilgilere kalıcı erişimi sürdürmek için bileşenleri enjekte etmenin veya değiştirmenin verimli bir yolunu sağlayan modüler bir mimariye sahiptir.
“Snake, karmaşıklığı göz önüne alındığında şaşırtıcı derecede az hata içeren implant ile dikkatli bir yazılım mühendisliği tasarımı ve uygulaması gösteriyor”, CISA söz konusuimplantın ilk versiyonlarının 2004 başlarında geliştirildiğini ekleyerek.
“FSB onu neredeyse sürekli yükseltme ve yeniden geliştirme aşamalarından geçirdiği için Uroburos adı uygundur.”
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Kremlin destekli grupla ilişkili altyapı, Kuzey Amerika, Güney Amerika, Avrupa, Afrika, Asya ve Avustralya’da 50’den fazla ülkede tespit edildi, ancak hedeflemesinin daha taktiksel olduğu, hükümet ağlarını, araştırma tesislerini ve gazetecileri kapsadığı değerlendiriliyor. .
ABD’deki mağdur sektörler arasında eğitim, küçük işletmeler ve medya kuruluşlarının yanı sıra devlet tesisleri, finansal hizmetler, kritik üretim ve iletişim gibi kritik altyapı sektörleri yer alıyor.
Bu aksiliklere rağmen Turla, Windows, macOS, Linux ve Android’deki hedeflerini aşmak için bir dizi taktik ve aracı serbest bırakan aktif ve çetin bir düşman olmaya devam ediyor.
Gelişme, ABD kolluk kuvvetleri ve istihbarat teşkilatlarının Sandworm olarak adlandırılan başka bir Rus ulus-devlet aktörü tarafından kontrol edilen Cyclops Blink olarak bilinen modüler bir botnet’i silahsızlandırmasından bir yıldan biraz daha uzun bir süre sonra geldi.